1

По ошибке я разрешил вход в систему как root через ssh, теперь есть несколько автоматических попыток войти в систему как root на некоторой вредоносной машине. Есть так много попыток, что сервер работает медленно, и мои сайты не обслуживаются правильно. Я попытался отключить root-логин путем редактирования

/etc/ssh/sshd_config

с

PermitRootLogin no

и я побежал

sudo usermod -p '!' root
sudo passwd -l root
sudo service ssh restart

но журнал в auth.log по-прежнему показывает попытки каждую секунду, есть способ заблокировать это, если попытки сделаны с нескольких ips?

1 ответ1

1

Я предполагаю, что вы используете порт 22 для ssh , поэтому, если этот порт открыт, вы всегда получаете такие попытки входа в систему. В основном это автоматические сканирования / атаки по словарю, направленные на порт 22. Они забьют ваш сервер независимо от того, отключили ли вы root-вход, потому что это глупые сценарии. Все, что вы можете и должны сделать, это защитить свой сервер и постоянно следить за ним. Отключение root-доступа является хорошей отправной точкой и настоятельно рекомендуется. Вы также можете:

  • Поставь ssh на нестандартный порт вроде 10222.
  • Используйте такой инструмент, как fail2ban и блокируйте IP-адреса при слишком большом количестве попыток входа в систему. Также есть DenyHosts.

Это должно уменьшить "фоновый шум" для хорошей порции.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .